LG dicht ernstige kwetsbaarheid in WebOS
Beveiligingsonderzoekers van Bitdefender ontdekten vorig jaar vier ernstige lekken in LG-televisies met WebOS. Twee van deze lekken maakten het mogelijk om deze toestellen op afstand te bedienen. Het eerste lek (CVE-2023-6317) gaf aanvallers de mogelijkheid om een extra gebruiker aan de televisie toe te voegen. Met het tweede lek (CVE-2023-6318) kregen ze vervolgens volledige toegang tot de root van de televisie, waardoor ze die potentieel konden overnemen.
Eens ze toegang hadden tot de televisie, konden ze ook niet-geverifieerde commando’s uitvoeren door de API-endpoint te manipuleren (CVE-2023-6320). Opvallend is dat de kwetsbaarheden volgens Bitdefender normaliter enkel via LAN (het lokale netwerk) toegankelijk zouden moeten zijn. Toch wisten ze bij Bitdefender toegang te krijgen tot de service waarin de kwetsbaarheden zich bevinden.
Getroffen LG-tv’s
Volgens de Koreaanse zoekmachine Shodan worden “meer dan 91.000 apparaten” door de service blootgesteld aan het internet. Het gaat om televisies met WebOS-versies 4 tot 7. Hieronder vind je de volledige lijst, met de getroffen modelnummers van LG-tv’s:
- webOS 4.9.7 – 5.30.40: LG43UM7000PLA
- webOS 5.5.0 – 04.50.51: OLED55CXPUA
- webOS 6.3.3-442 (kisscurl-kinglake) – 03.36.50: OLED48C1PUB
- webOS 7.3.1-43 (mullet-mebin) – 03.33.85: OLED65CXPUB
Updates beschikbaar
Voor de getroffen televisies is intussen een update van WebOS beschikbaar. De uitrol daarvan startte op 22 maart. Gebruikers wordt geadviseerd de update zo snel mogelijk op hun televisie te installeren om potentieel misbruik te voorkomen. Of het lek in de praktijk is uitgebuit, is onduidelijk.
